ERROR: Content Element with uid "20398" and type "dce_dceuid2" has no rendering definition!
Neuigkeiten und Änderungen zu CE nicht mehr verpassen! Jetzt für den CE-Infoservice registrieren
Fachbeitrag teilen
Am 20.11.2024 wurde die Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, der sogenannte Cyber Resilience Act (kurz CRA), im EU-Amtblatt veröffentlicht. Die Vorschrift soll sicherstellen, dass eine Vielzahl an Produkten wie vernetzte Heimkameras, Kühlschränke, Fernseher, Spielzeug und auch Maschinen sicher sind, bevor sie auf den Markt gebracht werden.
Mit der neuen Verordnung sollen Lücken geschlossen, Zusammenhänge verdeutlicht und der bestehende Rechtsrahmen für die Cybersicherheit kohärenter gestaltet werden, um zu gewährleisten, dass Produkte mit digitalen Komponenten, z. B. Produkte des Internet der Dinge (Internet of Things, IoT), über die gesamte Lieferkette und den gesamten Lebenszyklus hinweg sicher sind.
Hinweis: Dieser Fachbeitrag wird laufend aktualisiert. Verpassen Sie keine wichtigen Updates und abonnieren Sie am besten gleich unseren kostenlosen Newsletter oder folgen uns auf LinkedIn!
Newsletter abonnieren
IBF auf LinkedIn folgen
Hintergründe
Aufgrund der aktuellen Security-Lage und insbesondere des Ukraine-Krieges war davon auszugehen, dass eine Erhöhung der Resilienz von Cyber-Attacken in Europa politisch hohe Priorität genießt und entsprechend mit Nachdruck verfolgt wird.
Am 1.12.2023 konnten das Europäische Parlament und der Rat eine Einigung über den von der Kommission im September 2022 vorgeschlagenen Cyber Resilience Act erzielen. Darin werden die Grundzüge des bisherigen Kommissionsvorschlags beibehalten, in einigen Bereichen schlagen die Mitgesetzgeber jedoch Anpassungen vor. Diese umfassen beispielsweise den Wunsch nach einer einfacheren Methodik für die Klassifizierung der unter die Verordnung fallenden digitalen Produkte, eine Festlegung der Produktlebensdauer durch die Hersteller oder eine Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle.
Am 12.3.2024 hat das Europäische Parlament den Kompromisstext angenommen, am 10.10. folgte die Billigung durch den Rat. Am 20.11.2024 wurde schließlich die finale Fassung im EU-Amtsblatt veröffentlicht. Am 11.12.2024 ist er in Kraft getreten, ab 11.12.2027 wird er unmittelbar in jedem EU-Mitgliedstaat gelten.
Seminarhinweis
Cyber Resilience Act (CRA) für Hersteller von Maschinen und Geräten
In diesem 1-tägigen Seminar erfahren Sie praxisnah, welche Pflichten der Cyber Resilience Act (CRA) für Hersteller von Maschinen, Anlagen und elektrischen Geräten mit sich bringt und wie Sie diese effizient und rechtssicher erfüllen.
ERROR: Content Element with uid "46218" and type "dce_button" has no rendering definition!
ERROR: Content Element with uid "32926" and type "dce_faqpage" has no rendering definition!
ERROR: Content Element with uid "51941" and type "dce_faqpage" has no rendering definition!
ERROR: Content Element with uid "35989" and type "dce_faqpage" has no rendering definition!
Am 20. November 2024 wurde die finale Fassung des Cyber Resilience Act im EU-Amtsblatt veröffentlicht. Zum Volltext der Verordnung (EU) 2024/2847 gelangen Sie über folgenden Link:
Cyber Resilience Act 2024/2847 vom 20.11.2024
Änderungen und Berichtigungen zum Cyber Resilience Act
Am 5.3.2025 wurde der Cyber Resilience Act durch die Verordnung (EU) 2025/327 über den europäischen Gesundheitsdatenraum (EHDS) geändert. Die Verordnung regelt den Zugang, die Nutzung und den Schutz elektronischer Gesundheitsdaten innerhalb der EU.
Sie ergänzt Vorgaben des Cyber Resilience Act in Bezug auf Sicherheitsanforderungen für digitale Gesundheitsprodukte, definiert eine einheitliche technische Dokumentation für Gesundheitssoftware und schafft Regeln für Software-as-a-Service (SaaS)-Modelle, die nicht direkt unter den Cyber Resilience Act fallen.
Am 2.7.2025 veröffentlichte die EU-Kommission die Berichtigung 2025/90555. In sämtlichen Sprachfassungen des CRA wird hierbei in Artikel 64 (10) geändert. Bisher stand dort der Ausdruck "Abweichend von den Absätzen 3 bis 9...", stattdessen gilt nun die Abweichung für die Absätze 2 bis 9. Somit sind die in Abschnitt 64 (10) aufgeführten Klein- oder Kleinstunternehmen sowie Verwalter quelloffener Software von den entsprechenden Geldbußen in Abschnitt (2) des Artikels 64 ausgenommen.
Außerdem enthält das Corrigendum eine spezielle Anpassung für die deutschsprachige Ausgabe. Artikel 13 (8) wird wie folgt geändert:
"Wenn sie ein Produkt mit digitalen Elementen in den Verkehr bringen und während der erwarteten Produktlebensdauer und des Unterstützungszeitraums stellen die Hersteller sicher, dass Schwachstellen dieses Produkts, einschließlich seiner Komponenten, wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden."
Der unterstrichene Ausdruck "und während der erwarteten Produktlebensdauer" wird hierbei entfernt, dieser war in der englischen (Original-)Fassung nicht enthalten und stellte so in der deutschsprachigen Ausgabe des Rechtsakts eine inhaltliche Abweichung dar. Die Streichung ist insofern zu begrüßen, als der zusätzliche Term "während der erwarteten Lebensdauer" ggf. unnötig weitreichenden Auflagen für Unternehmen geführt hätte.
Weitere Veröffentlichungen zum CRA im EU-Amtsblatt
Am 1.12.2025 wurde im EU-Amtsblatt die Durchführungsverordnung (EU) 2025/2392 veröffentlicht. Dieser sogenannte Durchführungsrechtsakt musste gemäß der Verordnung bis spätestens 11.12.2025 (also 2 Jahre vor Gültigkeit) erscheinen und umfasst die technische Beschreibung der Kategorien von wichtigen (Anhang III) und kritischen Produkten (Anhang IV) mit digitalen Elementen des CRA.
Die Verordnung 2025/2392 behandelt in ihrem Anhang I die technischen Beschreibungen von wichtigen Produkten mit digitalen Elementen, unterteilt in die Klassen 1 (z.B. Passwort-Manager, Netzmanagementsysteme oder Betriebssysteme) und 2 (z.B. Hypervisoren, Firewalls und manipulationssichere Mikroprozessoren). In Anhang II folgen die Beschreibungen für kritische Elemente wie etwa Hardwaregeräte mit Sicherheitsboxen, Geräte für fortgeschrittene Sicherheitszwecke und Chipkarten.
Am 20. April 2026 folgte die delegierte Verordnung (EU) 2026/881, welche den CRA durch “durch Festlegung der Modalitäten und Bedingungen für die Geltendmachung von Cybersicherheitsgründen im Zusammenhang mit dem Aufschub der Verbreitung von Meldungen” ergänzt. Darin geht es um die Weitergabe von Meldungen über Schwachstellen und Sicherheitsvorfälle zwischen den CSIRTs (Computer Security Incident Response Teams) der Mitgliedstaaten.
Konkret wird festgelegt, wann die Weitergabe solcher Meldungen selbst ein Sicherheitsrisiko darstellt, beispielsweise wenn das involvierte CSIRT selbst gehackt oder die gemeinsame Plattform kompromittiert wurde. In solchen Fällen besteht die Möglichkeit, dass das CSIRT, das die Meldung zuerst erhaöten hat, die Weitergabe verzögert. Dies jedoch nur so lange wie notwendig und im Falle der folgenden Situationen:
Unabhängig davon muss in jedem Fall eine Benachrichtigung an die europäische Agentur für Cybersicherheit (ENISA) erfolgen.
FAQs zum Cyber Resilience Act
Am 3. Dezember veröffentlichte die EU-Kommission auf ihrer Website ein FAQ-Dokument mit häufigen Fragen zum Cyber Resilience Act (CRA). Das 66 Seiten lange Dokument beinhaltet eine Sammlung technischer FAQs und soll Interessengruppen bei der Umsetzung des CRA helfen. Die FAQs decken nicht den gesamten Anwendungsbereich des CRA ab, sondern behandeln vielmehr wiederkehrende Fragen, die die Dienststellen der Kommission seit Inkrafttreten des CRA gesammelt haben. Es handelt sich um ein „lebendiges Dokument“, das bei Bedarf von der Kommission aktualisiert wird.
In einem eigenen Kapitel 2.4 geht das Dokument auch auf das Zusammenspiel zwischen CRA und der neuen Maschinenverordnung (EU) 2023/1230 ein. Demnach kann ein Produkt sowohl als Maschine im Sinne der MVO als auch als Produkt mit digitalen Elementen im Sinne des CRA eingestuft werden. Als Beispiel wird dafür eine Lebensmittelverpackungsmaschine genannt, die Software und Hardware zur sicheren Funktionsweise integriert. In solchen Fällen müssen Hersteller sicherstellen, dass das Produkt die Cybersicherheitsanforderungen sowohl der MVO als auch des CRA erfüllt. Die Einhaltung der Anforderungen einer Verordnung ersetzt dabei nicht automatisch die Erfüllung der Anforderungen der anderen.
Gleichzeitig bestehen zwischen den beiden Regelwerken gewisse Synergien. Da sich die Cybersicherheitsanforderungen teilweise auf ähnliche Risiken beziehen, kann die Umsetzung der CRA-Anforderungen die Erfüllung der MVO-Anforderungen erleichtern. Hersteller sind jedoch verpflichtet, diese möglichen Synergien auf Basis einer fundierten Risikobeurteilung oder durch Bezugnahme auf harmonisierte Normen und andere technische Spezifikationen nachzuweisen.
Laut FAQ-Dokument muss auch die Konformitätsbewertung für Produkte, die in den Anwendungsbereich beider Verordnungen fallen, separat für CRA und MVO durchgeführt werden. Die Durchführung eines Verfahrens ersetzt nicht automatisch die Anforderungen des anderen. Um die Marktberechtigung sicherzustellen, müssen Hersteller daher die Konformitätsbewertungsverfahren beider Verordnungen einhalten.
Leitfaden zum Cyber Resilience Act
Am 3. März 2026 veröffentlichte die EU-Kommission den ersten Entwurf eines Leitfadens zum „Cyber Resilience Act”. Ziel des Dokuments ist es, die Verpflichtungen und den Anwendungsbereich der Vorschriften klarer zu definieren.
Ein besonderer Schwerpunkt liegt dabei auf der Erleichterung der Einhaltung der Vorschriften für Kleinstunternehmen sowie kleine und mittlere Unternehmen. Diese können im Rahmen des Programms SECURE zusätzliche Unterstützung bei der Umsetzung beantragen. Inhaltlich konzentriert sich das Entwurfsdokument auf Lösungen für die Remote-Datenverarbeitungund auf freie und quelloffene Software, auf den Begriff der „Supportzeiträume“ sowie auf das Zusammenspiel zwischen CRA und anderen EU-Rechtsvorschriften.
Dieses Dokument ist jedoch noch nicht final, Interessierte können bis 13.4. 2026 Feedback geben, dadurch können sich noch zahlreiche Änderungen am Dokument ergeben.
Weiterführende Informationen
Eine Analyse des "Cyber Resilience Act" aus juristischer Sicht können Sie im entsprechenden Fachbeitrag von Dr. Gerhard Wiebe einsehen.
Fußnoten:1 Webinar 'Standards supporting the Cyber Resilience Act' – siehe Details auf der Website von CEN/CENELEC2 Kategorisierung zukünftiger Normen zum CRA. Eigene Darstellung in Anlehnung an das o.g. Webinar von CEN/CENELEC
Verfasst am: 20.04.2026 (Letzte Aktualisierung)
Johannes Windeler-Frick, MSc ETH Geschäftsführer der IBF Solutions. Fachreferent CE-Kennzeichnung und Safexpert. Vorträge, Podcasts und Publikationen zu unterschiedlichen CE-Themen, insbesondere CE-Organisation und effizientes CE-Management. Leitung der Weiterentwicklung des Softwaresystems Safexpert. Studium der Elektrotechnik an der ETH Zürich (MSc) im Schwerpunkt Energietechnik sowie Vertiefung im Bereich von Werkzeugmaschinen.
E-Mail: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
Daniel Zacek-Gebele, MSc Produktmanager bei IBF für Zusatzprodukte sowie Datenmanager für die Aktualisierung der Normendaten am Safexpert Live Server. Studium der Wirtschaftswissenschaften in Passau (BSc) und Stuttgart (MSc) im Schwerpunkt International Business and Economics.
E-Mail: daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com
ERROR: Content Element with uid "8292" and type "dce_dceuid22" has no rendering definition!